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(SJj^strac^The invention relates to a device which is placed in a computer network and which is used to secure the communi- 
cation flows pass,„g Aerethxough. According to the invention, the communication flows are secured using pomble «,des"n 

^ S,3ti0n - *™™»«°»<* P°*able agents cSE£i£l by Z 

2^12 ^ " compiled by a compiler (C) contained in said device, at which point they become executable agents The 
comp.ler translates the portable agents which are written in a language independent of the processor (P) into executable aS which 

executable agents are then executed on the device, according to the communication flows (PD) passing therethrough and I security 
policy which can also be downloaded from a remote station. icreuirougn ana a security 
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(57) Abrege : Llnvention concerne un dispositif place* dans un r6seau informatique et servant a securiser les flux de communication 
le traversal La securisation des flux de communication est effectuee au moyen de codes portables, denommgs agents portables 
qui peuvent etre telecharge* depuis un poste distant. Les agents portables ne sont pas executables par le dispositif. Ds le deviennent 
une fois compiles par un compilateur (C) present dans le dispositif : ce sont alors des agents executables. Le compilateur traduit les 
agents portables ecrits dans un langage independant du processeur (P) en des agents executables ecrits dans le langage du processeur 
du dispositif, tout en nSalisant des centrales sur les fonctions realisees par Tagent. Les agents executables sont alors ex^cut^s sur le 
dispositif, en fonction des flux de communication (PD) le traversant et d'une politique de security qui peut ^galement etre teTecharcee 
depuis un poste distant. & 
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PROCEDE ET SYSTEMS DYN&MIQUE DE SECURISATIOK D'UN RESEMJ DE 
COMMUNICATION AU MOYEN D 'AGENTS PORTABLES 



La securite du reseau informatique est un element 
critique pour une entreprise et passe par la securisation des 
communications et des acces aux elements du reseau. Avec 
-l'av&nement d' Internet et 1' opportunity commerciale qu'il 
5 representee de plus en plus d' organisations ont ouvert leur 
reseau vers l'exterieur. Mais communication reseau et securite 
sont deux concepts fortement incompatibles, et les menaces qui 
decoulent d'un assemblage malheureux de ces deux concepts ont 
souvent amene les entreprises vers les deux seules possibilites 

10 offertes par le marches : pas d'ouverture sur Internet ou un 
blindage des flux de communications entrant et sortant 
entrainant des surcouts enormes. Le marche de la securite a done 
explose : les off res de securisation des reseaux d' entreprise 
abondent mais restent axees autour d'une protection frontaliere 

15 entre deux sous -reseaux (principalement le reseau de 
1' entreprise et Internet). Bien qu' Internet represente une 
menace potentielle indeniable, la majeure partie des attaques et 
des menaces provient de l'int^rieur. Malgre ce constat, le 
marche actuel de la securite continue de proposer des solutions 

20 qui repondent de moins en moins bien aux besoins des entreprises 
et, plus generalement, aux besoins des utilisateurs des reseaux. 
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Les procedes utilises dans la securisation des r^seaux 
informatiques reposent essentiellement sur la technologie de 
filtrage de paquets. Cette technologie permet d'autoriser le 
passage des flux de communication reseau tout en exergant un 
5 controle sur ces flux. Les meilleures illustrations (et les plus 
r^pandues) sont les ecluses (communement appelees « Firewall » 
dans le jargon informaticien : IEEE COMMUNICATIONS MAGAZINE . , 
Vol. 32 N°9 September 1994, page 50 a 57, S.M. BELLOVIN ET AL 
^NETWORK FIREWALLS ' ) et les passerelles filtrantes au niveau 

10 application (designees par le nom « Proxy ») . Ces deux types 
d'entites reseau creent une barriere entre deux sous-reseaux et 
realisent leur filtrage en fonction de certaines regies de 
securite definies de maniere coherente au sein d'une politique 
de securite. D'autres entites viennent completer 1' off re de 

15 securite en proposant des services complementaires : citons 
entre autres les systemes de detection d' intrusion (intrusion 
detection system ou IDS) , les antivirus, les passerelles pour 
les reseaux prives virtuels (appelees passerelles VPN pour 
Virtual Private Network) , les outils logiciels et materiels de 

20 chiffrement, les clients/serveurs d' authentif ication, les 
serveurs de journalisation, etc. Malgre la variete des produits, 
de nombreuses limitations deviennent de plus en plus 
contraignantes pour les entreprises. Leur demande a evolue h 
1' image du secteur de la securite informatique : la protection 

25 des reseaux ne doit plus etre focalisee sur les points de 
contact entre plusieurs sous-reseaux mais doit etre axee sur la 
protection de chacun des elements constituant le reseau. 

Dans cette nouvelle optique, tous les services 
proposes par les differentes offres de securite devraient 

30 pouvoir s'exercer pour chaque element du r6seau. Les 
technologies actuelles n'ont pas §t6 pens^es en ce sens. Ainsi, 
deux principaux probl^mes freinent le passage vers une security 
globale et homogene du r6seau : la specialisation des offres de 
securite et le cout d'une telle securite. En effet, les entites 

35 d6di£es a la securisation du r6seau sont confinees, de par la 
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technologie employee actuellement, & un role d6fini au prealable 
: une ecluse ne peut etre utilisee pour realiser autre chose que 
du filtrage ; on ne peut ni changer sa fonction ni lui raj outer 
de nouvelles f onctionnalites . Des lors, il est n£cessaire de 
5 combiner un grand nombre de produits pour atteindre une vaste 
gamme de services (et done une bonne securite) a un point donne 
du reseau. Ce grand nombre de produits engendre inevitablement 
des couts tres importants d' acquisition, de formation et de 
maintenance, sans attenuer les risques de defaillance dus au 

10 fait que ces produits n'ont pas ete forcement developpes pour 
travailler ensemble. Le cout de la protection d'un seul point 
etant deja relativement eleve, ce cout deviendrait prohibit if 
dans le cas d'une protection totale du reseau. 

Au-del& du cout, la multitude de produits specialises 

15 complique severement 1' administration du reseau et la mise en 
place d'une politique de securite efficace et coherente. Chaque 
produit dispose de sa propre interface d' administration et cette 
pluralite ne permet pas de fournir une vision organisee du 
reseau. Ces probl&nes de clarte et de coherence entrainent non 

20 seulement la presence de failles dans la politique de security 
mais egalement ion ralentissement dans les temps de reaction 
d'une entreprise a deployer une politique de securite face a des 
menaces . 

Dans la grande majorite des solutions actuelles pour 
25 la securisation des reseaux, 1' element central est 1' ecluse. La 
politique de securite de 1' entreprise est centree sur cette 
ecluse autour de laquelle peuvent graviter d'autres entites 
fournissant des services de securite complementaires . Un serveur 
d' administration permet de d£finir les differents elements du 
30 r6seau (ordinateurs, peripheriques reseau, services reseau, 
utilisateurs...) et de definir des regies de filtrage entre ces 
differents elements. Ces regies de filtrage constituent la 
politique de securite qui sera ensuite envoy£e & 1' Ecluse : 
l'autorisation ou le refus de passage des paquets des flux de 
35 communication sont alors realises par l'6cluse conformement aux 
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regies de filtrage. Historiquement, 1' envoi de la politique de 
securite a constitue une evolution des ecluses permettant de 
palier a la rigidite et au manque d' evolutivite d'une 
configuration ecrite directement dans l'ecluse. De plus, les 
5 regies de filtrage ont evolue pour permettre de filtrer de 
nouveaux protocoles en proposant de definir ses propres elements 
du reseau dans le serveur d' administration . Toutes ces 
nouveautes ont fait avancer la technologie des ecluses jusqu'au 
stade dit de « firewall de troisieme generation ». Neanmoins, 
10 les besoins naissant en matiere de securite reseau necessitent 
une nouvelle evolution que ne pourraient apporter des ecluses, 
quelle que soit leur generation. Cette evolution se definit par 
la possibility de realiser n'importe quel type de traitement sur 
les paquets par la meme entite reseau, que ce soit du filtrage 
15 de type ecluse, de la detection d' intrusion, de la detection de 
virus, de la qualite de service r6seau, etc. En effet, il 
devient primordial d' analyser et de contr61er les informations 
transitant dans les flux autorises par l'ecluse, car ces flux 
peuvent §tre utilises a des fins de piratage inf ormatique . Dans 
20 le modele en couche de la norme OSI (ISO/IEC 7498-1 :1994) - 
dont l'une des implementations est le protocole TCP/IP (Internet 
Protocol : RFC 791, Transmission Control Protocol : RFC 793) , le 
filtrage des ecluses est realise au niveau des couches reseau et 
transport. La couche la plus haute est la couche application et 
25 contient les informations transmises par les applications 
client/serveur. II existe un tres grand nombre de protocoles 
dans la couche application, ce qui represente autant de flux 
d' inf ormations susceptibles de contenir une attaque. Chaque 
jour, de nouvelles failles sont decelees dans tel ou tel 
protocole et permettent a des pirates informatiques d'attaquer 
le systeme hebergeant un service utilisant ce protocole. Un 
produit de securite devrait done etre en mesure de recuperer de 
nouveaux services pour rester a jour face aux menaces. Autour 
d'une meme politique de securite, 1' administrateur devrait 
35 pouvoir definir les services qu'il veut realiser sur chacun des 
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points du reseau, en fonction des utilisateurs du reseau et en 
fonction des menaces du moment. 

Une des methodes pour y parvenir est de disposer de 
codes mobiles. La theorie des codes mobiles repose sur la 
5 presence d'un module capable d'executer du code qui lui est 
fourni a distance. Ceci permet de conserver une plate-forme 
homogene capable d'executer n'importe quel type de programme. 
L'une des implementations du concept de codes mobiles repose sur 
la presence d'une machine virtuelle. Une machine virtuelle emule 

10 un processeur (C est-a-dire qu'elle simule, sur un autre 
materiel, le fonctionnement de ce processeur). C'est un 
processeur virtuel avec un langage qui lui est propre. A ce 
titre, il dispose de registres de travail et execute les 
sequences d' instructions d'un code compile dans son propre 

15 langage. Ceci est realise non pas de maniere materielle mais de 
maniere logicielle. 

La machine virtuelle apporte l'evolutivite a un 
systeme, en permettant l'apport de nouvelles f onctionnalites . 
Elle apporte egalement l'independance par rapport au systeme et 
20 done la portability. 

Certaines des ecluses les plus evoluees integrent une 
machine virtuelle afin de realiser le filtrage de paquets par un 
code mobile genere a partir de la politique de securite definie 
dans le serveur d' administration, comme presente dans le brevet 
25 US 5606668 ou le brevet US 5835726. Cette methode d' utilisation 
de la machine virtuelle, bien que tres utile, continue de 
confiner le role de l'ecluse a un role de filtrage simpliste car 
la machine virtuelle est cantonnee a l'autorisation ou au refus 
de passage des paquets en fonction de regies de securite. 
30 Bien qu'apportant quelques avantages, la machine 

virtuelle presente un defaut majeur : la baisse sensible de 
performance. En effet, la machine virtuelle emule un processeur 
au-dessus d'un vrai processeur, induisant par-la meme une 
surcouche : les codes mobiles (appeles aussi applets dans le 
35 jargon informaticien) sont executes par la machine virtuelle qui 
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est elle-meme executee par le processeur. Cette couche 
d' abstraction logicielle provoque une baisse de performance qui 
peut etre critique dans des applications temps reel de type 
traitement de flux reseau. 
5 Une autre implementation possible du concept de codes 

mobiles consiste a envoyer directement du code natif (que nous 
appellerons, par convention, agent) a un dispositif. Cet agent 
est un code compile dans le langage du processeur. Cette 
solution est optimale en terme de vitesse d' execution. Les 
10 agents etant directement executes par le processeur, ils peuvent 
etre optimises compte tenu des caracteristiques particulieres de 
ce processeur. Leur compilation se fait dans une phase 
anterieure (generalement au moment du d^veloppement de 1' agent) . 
Le compilateur traduit alors le code de 1' agent : a partir d'un 
15 code developpe dans un langage de haut niveau (c'est-d-dire 
comprehensible facilement par l'homme par ses similitudes avec 
un langage naturel) , le compilateur gen£re une traduction du 
code dans un langage de bas niveau (corapris par la machine) . La 
compilation d'un code comprend differentes etapes au travers 
20 desquelles le code subit plusieurs transformations. « La 
compilation est effectuee par un compilateur. Selon une 
definition simplifiee, un compilateur est un programme qui lit 
un programme £crit dans un premier langage - le langage source - 
et le traduit en un programme equivalent ecrit dans un autre 
25 langage - le langage cible. » (Compilateurs, principes, 
techniques et outils - Alfred Aho/Ravi Sethi/Jeffrey Ullman - 
editions InterEditions - 1989) . Un coirqpilateur op§re selon 
differentes phases transformant le programme source d'une 
representation a une autre. La premiere phase est 1' analyse 
30 lexicale qui groupe des caracteres d'un programme source en 
unites lexicales (mots ou symboles) . Suit 1' analyse syntaxique 
(dite egalement grammaticale) qui groupe les unites lexicales en 
structure syntaxique qui seront utilises par le compilateur 
pour synthetiser son resultat. La phase suivante, 1' analyse 
35 semantique, utilise la structure syntaxique pour controler si le 
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programme source contient des erreurs semantigues (par exemple : 
un nombre reel est utilise comme un caractere) . Le compilateur 
construit alors une representation intermediaire du programme 
source gui est simultanement facile a produire et facile a 
5 traduire en langage cible. Une phase d' optimisation du code 
tente ensuite d'ameliorer le code intermediaire afin gue le code 
resultant s' execute plus rapidement. La phase finale du 
compilateur consiste en la production d'un code cible. La 
creation d'un programme executable reguiert en general 
10 1' utilisation de plusieurs autres programmes gui sont des 
cousins du compilateur. En effet, le programmeur cree en general 
un sguelette de programme, gui est modifie par un preprocesseur 
afin d'obtenir un programme source. Ce dernier est compile par 
le compilateur en programme cible generalement en langage 
assembleur. Celui-ci est transforme par un assembleur en code 
machine translatable gui est lui-meme complete par un relieur- 
chargeur avec des bibliotheques ou des fichiers objets 
translatables afin d'obtenir un code machine absolu 
comprehensible par l'ordinateur. Ainsi, de maniere simplifi6e, 
differentes phases constituent la compilation: dans une premiere 
etape, les differents fichiers composant le code sont compiles 
individuellement en langage d' assemblage (phase de compilation 
regroupant les nombreuses etapes d' analyse d'un code source en 
langage de haut niveau), puis ils sont translates du langage 
d' assemblage (langage de bas niveau) au langage machine, c'est- 
a-dire en langage binaire (phase d' assemblage) . On dispose alors 
de fichiers objets gui sont la traduction en langage machine des 
fichiers sources. La derniere phase genere 1' executable 
proprement dit : les fichiers sont lies les uns aux autres afin 
de former un seul fichier binaire (phase dite d' edition de 
liens). Le compilateur doit resoudre toutes les dependances de 
chacun des fichiers objets afin de former un executable 
coherent. L' inconvenient majeur de cette methode est gu'elle est 
incompatible avec une independance de la plate-forme et un 
35 langage proprietaire optimise pour les besoins de ladite plate- 
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forme. En effet, les codes compiles ne sont pas du tout 
portables car lis dependent du processeur du dispositif. Seuls 
les fichiers sources sont portables. La solution de distribuer 
les fichiers sources pose de nombreux problemes : le code est 
lisible et modifiable par tout le monde, ce qui peut etre un 
probleme pour une entreprise desireuse de conserver une 
expertise, un savoir-faire ou simplement des algorithmes 
confidentiels. En outre, les fichiers sources demandent d'etre 
compiles pour le processeur adequat. II parait peu probable 
qu'un client s'etant procure differents dispositif s (avec des 
processeurs differents) serait pret a effectuer les compilations 
des codes sources avec, a chaque fois, le bon compilateur, en 
vue de disposer de differentes versions binaires d'un mime code 
source, organiser 1' envoi du bon code compile aux divers 
dispositif s. En outre, le fait de pouvoir envoyer au dispositif 
des codes compiles dans le langage de son processeur peut 
s'averer tres dangereux. En effet, on autorise alors n'importe 
quel utilisateur, y compris un utilisateur mal intentionne, a 
developper un code permettant de prendre entierement le contrdle 
sur le dispositif. Pour limiter les possibility des agents, il 
est necessaire d' effectuer des controles lors de leur execution, 
ce qui affecterait tres sensiblement les performances. 

L' invention, objet du present brevet, permet de 
resoudre les problemes evoques precedemment sans presenter les 
25 inconvenients de l'art anterieur. L' invention permet de 
conserver les avantages des codes mobiles tout en accroissant 
les performances. Elle pallie les problemes et les limitations 
des technologies existantes en proposant une solution innovante. 
Description de 1 ' invention 

Le cadre general de 1' invention concerne une methode 
de securisation des reseaux informatiques par le controle des 
flux de communication entre elements desdits reseaux. Ce 
contr61e s'effectue grace a la realisation de traitements sur 
les paquets des flux de communication par un procede flexible, 
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dynamique, evolutif, qui peut etre administre de maniere simple 
et deploye de facon homogene sur 1' ensemble du reseau; 

La presente invention decrit un procede de traitements 
evolutifs des flux de communication reseau, ces traitements 
5 etant effectues en temps reel. 

En outre, la presente invention permet de realiser 
tout type de traitements evolues des paquets a tous les niveaux 
du modele OSI et en particulier au niveau de la couche 
application. 

10 En outre, la presente invention rend le systeme 

evolutif en terme de nouvelles fonctionnalites pour un type de 
traitement donne (il est possible, par exemple, de raj outer 
facilement de nouvelles fonctionnalites de filtrage a une ecluse 
(firewall) ou de nouvelles signatures virales a un antivirus) . 

En outre, la presente invention permet a un systeme de 
changer de type de traitement en temps reel (une ecluse peut 
devenir un antivirus ou un systeme de detection d' intrusion ou 
encore une passerelle VPN) . 

En outre, la presente invention permet a un systeme de 
realiser tous les changements evoques precedemment, et ce, de 
maniere evolutive et en temps reel. 

En outre, la presente invention permet d'apporter une 
protection efficace et personnalisable en tout point du reseau, 
et ce de maniere homogene. 

En outre, la presente invention apporte des solutions 
en terme de performance et de rapidite d' execution permettant a 
un systeme embargue de traiter efficacement des flux de 
communication en temps reel. 

En outre, le systeme peut se proteger, sans impacter 
les performances, des codes qui lui sont envoyes pour realiser 
de nouveaux traitements. 

La presente invention concerne un proced<§ permettant 
de realiser 1' analyse et/ou la modification selective et/ou le 
filtrage selectif de paquets de donnees traversant un dispositif 
35 place en coupure dans un reseau informatique ; ledit dispositif 
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comprenant un processeur executant un compilateur et un 
logiciel conformement a une politique de securite ; ledit 
logiciel etant destine au filtrage desdits paquets de 
donnees, en autorisant ou non leur passage, conformement a 
5 ladite politique de securite; ledit procede 6tant caracterise en 
ce qu'il comprend les etapes suivantes : 

- l'etape de definir ladite politique de securite au 
moyen d' agents portables, ecrits dans un langage informatique 
independant du langage dudit processeur et dedies a 1' analyse 

10 et/ou a la modification selective et/ou au filtrage selectif 
desdits paquets de donnees ; 

l'etape, pour ledit logiciel, d'appeler 
automatiquement ledit compilateur afin d'effectuer une 
compilation pour traduire lesdits agents portables en des agents 

15 executables ecrits dans le langage dudit processeur / 

- l'etape d'executer ledit logiciel pour filtrer 
lesdits paquets de donnees traversant ledit dispositif, en 
autorisant ou non leur passage, conformement a ladite politique 
de s£curit£ ; 

20 " l'etape d' analyser, lesdits paquets de donnees 

autorises par ledit logiciel a traverser ledit dispositif, en 
executant lesdits agents executables par ledit processeur 
; et/ou 

- l'etape de modifier select ivement, lesdits paquets 
25 de donnees autorises par ledit logiciel a traverser ledit 

dispositif, en executant lesdits agents executables par ledit 
processeur ; et/ou 

- l'etape de filtrer selectivement, lesdits paquets de 
donnees autorises par ledit logiciel a traverser ledit 
dispositif, en executant lesdits agents executables par ledit 
processeur. 

La presente invention se caracterise done par un 
dispositif se connectant au reseau. La connexion au r6seau 
induit une coupure du reseau en deux sous-r6seaux, ce qui permet 
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d'intercepter tous les flux de communication d'un des sous- 
reseaux a destination de 1' autre. 

Ce procede permet a un dispositif reseau de recevoir 
une politique de securite composee de regies de filtrage 
5 classiques et egalement d' agents de traitement des paquets. Ces 
agents sont compiles— automatiquement dans le dispositif, la 
compilation etant lancee par le logiciel embarque dedie au 
filtrage des paquets de donnees: ils deviennent alors 
directement executables par le processeur, ce qui est optimal en 
10 terme de vitesse d' execution. Ainsi, le procede permet a un 
dispositif de modifier son propre comportement en fonction des 
agents telecharges, ce qui le rend totalement evolutif. En 
effet, cette modification de comportement peut etre une 
modification globale du role du dispositif (une ecluse devient 
15 un antivirus, par exemple) ou une simple mise a jour des 
fonctionnalites (un raj out de nouvelles detections de signatures 
par exemple). De plus, les agents sont envoyes dans un langage 
independant du processeur du dispositif. Cette independance 
assure leur portability sur des dispositifs utilisant des 
20 processeurs differents. De plus, cela permet eventuellement de 
concevoir un langage proprietaire, intermediate entre un 
langage de haut niveau et le langage natif du processeur, ce 
langage proprietaire pouvant avoir des fonctionnalites adaptees 
aux besoins en matiere d' analyse, de modification et de filtrage 
25 de paquets dans des flux de communication reseau et pouvant etre 
restreint a des fonctions sans danger pour le dispositif. Ainsi, 
les agents sont inintelligibles, ce qui protege la propriete 
intellectuelle de l'auteur. En fonctionnement, le dispositif 
intercepte tous les paquets le traversant et le logiciel 
embarque realise un filtrage prealable des paquets de donnees, 
conformement a une politique de securite. Pour les paquets 
autorises par le logiciel embarque, conformement a la politique 
de securite, des agents seront executes pour realiser des 
traitements complementaires . Cela permet d'optimiser les 
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performances du dispositif en faisant un premier filtrage des 
paquets avant d'executer les agents. 

Avantageusement, la politique de securite comprend en 
outre une definition des differents objets dudit reseau 
5 inf ormatique . 

Avantageusement, la politique de securite comprend en 
outre une definition des differents services dudit reseau 
inf ormatique . 

Avantageusement, la politique de securite comprend en 
10 outre une definition des differents utilisateurs dudit reseau 
inf ormatique . 

Avantageusement, le procede selon 1' invention 
comprend l'etape de generer des parametres de configuration 
permettant de configurer lesdits agents portables en fonction 
15 desdits utilisateurs dudit reseau inf ormatique . 

Avantageusement, la politique de securite comprend en 
outre une definition dudit dispositif. 

Ceci permet a la politique de securite d'inclure de 
multiples parametres representant divers aspects du reseau. II 
20 est done possible de definir des regies de filtrage entre 
elements du reseau ou entre des utilisateurs et des services ou 
encore entre le dispositif et les services reseaux. A tous ces 
types de regies de filtrage, il est possible de raj outer des 
agents qui vont realiser des traitements supplementaires . Le 
25 logiciel embargue dans le dispositif realise alors le filtrage 
en fonction des regies de la politique de securite et, pour les 
paquets autorises par ces regies, lance 1' execution des agents 
qui ont ete raj out es pour ses regies. 

Ainsi le dispositif n'est pas limite au travail d'une 
30 ecluse (filtrage de paquets). En effet, il est possible, au 
niveau des regies de filtrage du logiciel embargue, d'autoriser 
tous les flux de paquets a traverser le dispositif (ce qui a 
pour effet de desactiver la fonctionnalite d' ecluse), tout en 
rajoutant des agents dedies, par exemple, au filtrage des 
35 tentatives d' intrusion. 
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Avantageusement, ledit langage informatique desdits 
agents portables est un langage de bas niveau dedie a des 
traitements sur lesdits paguets de donnees dudit reseau 
informatique et permettant de contr61er et de limiter les 
actions possibles desdits agents portables au sein dudit 
dispositif . 

Ainsi, les agents ne peuvent itre lus car ils sont 
inintelligibles pour l'homme. De plus, ils peuvent prealablement 
etre developpes dans un langage de haut niveau au moment de leur 
conception, puis compiles et fournis par la suite dans ce 
langage de bas niveau. Le foumisseur des agents conserve ainsi 
les sources de ses agents. Le langage dans lequel sont ecrits 
les agents est specialement adapte aux traitements des flux de 
communication reseau et permet de garder un controle sur les 
15 possibilites de 1' agent au sein du dispositif. En effet, un 
agent, directement compile dans le langage du processeur du 
dispositif, pourrait potentiellement effectuer des dommages 
graves au dispositif s'il n'y a pas de controle lors de son 
execution. Un contrdle de 1' agent pendant son execution 
20 affecterait tres nettement ses performances. En limitant les 
possibilites de 1' agent dans le langage dans lequel il est ecrit 
et dans le compilateur de ce langage, les agents sont contrdles 
lors de la compilation et non lors de 1' execution ce qui 
augmente les performances. En outre, il devient possible de 
25 concevoir une version amelioree de 1' invention en optimisant le 
compilateur embarque : le compilateur n'a besoin ici de 
n' effectuer qu'une translation d'un langage de bas niveau vers 
le langage du processeur, ce qui est beaucoup plus rapide qu'une 
compilation complete. Cela facilite 1' implementation du 
30 compilateur au sein de nouveaux dispositif s avec des processeurs 
differents, tout en conservant 1' ensemble des avantages de 
portability, confidentiality et securite du dispositif. En 
effet, les phases d' analyse lexicale, syntaxique et semantique, 
propres a la compilation d'un code source de haut niveau, n'ont 
35 plus besoin d'etre realisees. 
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Avantageusement, le procede selon 1' invention comprend 
l'etape de definir, sur un serveur distant dudit dispositif, 
ladite politique de securite. 

Avantageusement, le procede selon 1' invention 
comprend l'etape de definir, sur ledit dispositif, ladite 
politique.de securite. 

La politique de security peut etre configuree a 
distance et envoyee au dispositif via le r6seau. Elle peut 
egalement etre definie directement sur le dispositif avec, par 
exemple, un serveur web embarqu£ dans le dispositif ou via un 
port serie du dispositif. 

Avantageusement, le procede selon 1' invention 
comprend l'etape d' authentif ier le ou les utilisateurs, non 
authentifies, dudit dispositif. 
15 Avantageusement, ladite politique de securite comprend 

en outre une definition desdits utilisateurs authentifies dudit 
dispositif. 

Avantageusement, le procede selon 1' invention comprend 
l'etape d' authentif ier ledit ou lesdits utilisateurs, non 
20 authentifies, dudit dispositif £ l'aide d'un moyen 
d' identification associ6 audit dispositif. 

Avantageusement, le proced6 selon 1' invention 
comprend l'etape d' authentif ier ledit ou lesdits utilisateurs, 
non authentifies, dudit dispositif A l'aide d'une application 
25 client/serveur dont 1' application serveur est contenue dans 
ledit dispositif. 

II devient done possible de definir une politique de 
security en fonction des utilisateurs du dispositif. Le procede 
permet ainsi de definir une politique de securite et des agents 
30 propres aux utilisateurs du dispositif : sur le meme dispositif, 
des utilisateurs differents se verront attribuer des politiques 
de securite differentes. A titre d' exemple purement illustratif 
et non limitatif des possibilites d' application de 1' invention, 
on peut mettre en place une politique de security dans laquelle 
un stagiaire, apr£s s'etre authentif ie, n'aura acces qu'aux 
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services reseaux et aux serveurs non conf identiels, alors qu'un 
developpeur pourra acceder aux serveurs de developpement . 

Les methodes d' authentif ication des utilisateurs du 
dispositif peuvent etre de plusieurs sortes : au moyen d'un 
5 element du dispositif (a titre d'exemple purement illustratif et 
non limitatif des possibility d' application de 1' invention, on 
peut citer, entre autres, un lecteur de carte a puces ou un 
identificateur biometrique) ou par un mecanisme de type client / 
serveur dans lequel le serveur d' authentif ication residerait 
10 dans le dispositif. Les informations d' authentif ication peuvent 
alors etre controlees dans le dispositif ou sur un serveur 
distant dans lequel est stockee la politique de securite. 

Avantageusement, le procede selon 1' invention 
comprend l'etape d'executer des fonctions d'une bibliotheque de 
15 fonctions contenue dans ledit logiciel et appelee par lesdits 
agents execu tables. 

Ceci permet de mettre a disposition des agents 
executables un ensemble de fonctions repondant aux besoins et 
aux specif icites du dispositif. 
20 Avantageusement, le procede selon 1' invention comprend 

l'etape d'executer des fonctions, de ladite bibliotheque de 
fonctions, specialisees dans une gestion d'un cache desdits 
paquets de donnees. 

Avantageusement, la gestion dudit cache desdits 
25 paquets de donnees comprend les e tapes suivantes : 

- l'etape, apres execution desdits agents executables, 
de memoriser, dans ledit cache, des informations de paquets 
concernant lesdits paquets de donnees et en outre lesdits 
paquets de donnees eux-memes lorsqu'ils ont ete modifies lors de 

30 ladite execution ; 

- l'etape, lors de l'arrivee d'un paquet entrant dans 
ledit dispositif, de verifier, grace audites informations de 
paquets memorisees dans ledit cache, si ledit paquet entrant est 
un paquet deja regu ; 
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- l'etape, lorsque ledit paquet entrant n'est pas un 
paquet deja regu, d'executer lesdits agents executables; 

- l'etape, lorsque ledit paquet entrant est un paquet 
deja regu, de determiner, grace audites informations de paquets 
memorisees dans ledit cache, si ledit paquet deja regu avait ete 
modifie par lesdits agents executables ; 

- l'etape, lorsque ledit paquet deja recu avait ete 
modifie par lesdits agents executables, de transmettre vers 
ledit reseau informatique, sans executer lesdits agents 
executables, une version dudit paquet deja regu memorisee dans 
ledit cache ; 

- l'etape, lorsque ledit paquet deja regu n' avait pas 
6te modifie par lesdits agents executables, de transmettre vers 
ledit reseau informatique ledit paquet entrant tel quel, sans 

15 executer lesdits agents executables. 

Cet ensemble de fonctions permet aux agents de 
disposer d'une gestion adaptee de cache de paquets. Le cache de 
paquets permet aux agents de ne pas voir les paquets de donnees 
deja regus afin de conserver la vision d'un flux coherent. De 
20 plus, le cache de paquets de donnees permet d'ameliorer 
sensiblement les performances du d'ispositif en court- circuitant 
1' execution des agents et en envoyant directement le paquet deja 
recu - dans le cas ou il n'aurait pas ete modifie par les agents 
lors de sa premiere reception - ou sa version modifiee, stockee 
25 dans le cache de paquets de donnees, - dans le cas ou il aurait 
6te modifie par les agents lors de sa premiere reception. 

Avantageusement, le precede selon 1' invention 
comprend l'etape d'executer des fonctions, de ladite 
bibliotheque de fonctions, specialises dans une gestion des 
30 couches reseau et transport du protocole de communication 
utilise. 

Avantageusement, la gestion desdites couches reseau et 
transport comprend les Stapes suivantes : 

i'^tape de m^moriser des informations de protocole 
35 desdites couches rSseau et transport desdits paquets de donnSes 
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traversant ledit dispositif afin de r^aliser un suivi des 
dif f&rents flux desdits paquets de donnees ; 

- l'etape de memoriser des modifications desdits 
paquets de donnees realisees par lesdits agents executables ; 
5 - l'etape de mettre a jour lesdites informations de 

protocole desdites couches reseau et transport desdits paquets 
de donnees traversant ledit dispositif, en fonction desdites 
informations de protocole et desdites modifications memorisees, 
sur lesdits paquets de donnees afin de conserver une coherence 
10 des flux desdits paquets de donnees. 

Le procede permet de conserver les informations 
importantes des flux autorises afin de pouvoir modifier et 
analyser correctement les informations des paquets de donnees en 
cours de traitement. A titre d'exemple purement illustratif et 
15 non limitatif des possibilites d' application de 1' invention, les 
informations conservees peuvent etre les numeros de sequence et 
d' acquirement du protocole TCP (tels que definis dans la RFC 
793 deja citee) ce qui permet d'agrandir ou de reduire les 
paquets de donnees, de recalculer les sommes de controle des en- 
t§tes, de conserver des informations passees dans le flux tel 
qu'un nom d'utilisateur, un mot cle important, i'appel d'une 
commande speciale, etc. 

Avantageusement, le procede selon 1' invention comprend 
l'etape d'executer des fonctions, de ladite bibliotheque de 
25 fonctions, specialises dans une recherche de motifs et 
d' expressions regulieres . 

Par le biais de ces fonctions, les agents peuvent 
alors realiser des recherches complexes de motifs dans les 
paquets, ce que necessite souvent 1' analyse de paquets de 
30 donnees : a titre d'exemple purement illustratif et non 
limitatif des possibilites d' application de 1' invention, ces 
fonctions peuvent etre, entre autres, des fonctions de 
comparaisons de chaines, de bloc memoire, d' expressions 
regulieres, des fonctions de recherche simultande de plusieurs 
35 chaines dans un bloc memoire, etc. 
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Avantageusement, le procede selon 1' invention 
comprend l'etape d'executer des fonctions, de ladite 
bibliotheque de fonctions, .specialisees dans une communication 
entre lesdits agents executables. 

Dans de nombreux cas, un agent aura besoin d'echanger 
des informations avec les autres agents afin de les avertir ou 
d'etre prevenu d'evenements imminents : un exemple purement 
illustratif et non limitatif des possibilites d' application de 
1' invention est celui d'un agent ayant detecte la presence d'un 
virus et decidant d'interdire le passage du paquet. II doit 
alors avertir les autres agents que le paguet a ete detruit. 

Avantageusement, le precede selon 1' invention 
comprend l'etape d'executer des fonctions, de ladite 
bibliotheque de fonctions, specialisees dans une communication 
15 entre lesdits agents executables et desdits objets dudit reseau 
inf ormatique . 

Le procede permet de dormer la possibility aux agents 
de dialoguer avec des composants reseaux dans leur protocole de 
communication. Ceci permet, entre autres, de reconfigurer des 
20 peripheriques ou d'echanger des informations. En effet, un 
reseau ef ficacement protege est un reseau oii chaque element a un 
role coherent dans la politique de securite. II est important 
que chaque composant du reseau puisse participer a la securite 
du reseau. Un exemple purement illustratif et non limitatif des 
25 possibilites d' application de 1' invention est celui d'un agent 
utilisant les fonctions de la bibliotheque pour reconfigurer la 
politique de securite d'un routeur via le protocole SNMP (Simple 
Network Management Protocol : RFC 1157) ou pour envoyer des logs 
(messages d' inf ormation) a des serveurs de logs deja existants 
30 (comme syslog par exemple : RFC 3164) . 

Avantageusement, le procede selon 1' invention 
comprend l'etape d'associer des composants materiels specialises 
dudit dispositif a des fonctions de ladite bibliotheque de 
fonctions afin d'accelerer 1' execution desdites fonctions. 
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Afin d'optimiser les performances du dispositif, les 
fonctions les plus utilisees de la biblioth&que de fonctions 
peuvent etre directement integrees au dispositif au niveau 
materiel : par exemple, des algorithmes de chiffrement ou de 
5 recherches de motifs peuvent etre cables dans un coprocesseur 
dedie. L' acceleration materielle permet d'obtenir un gain de 
performance non negligeable pour des dispositifs de traitements 
en temps reel. 

Avantageusement, le procede selon 1' invention comprend 
10 l'etape de modifier ladite politique de securite en executant 
lesdits agents executables par ledit processeur. 

Pour obtenir une securite globale et coherente du 
dispositif et du reseau en general, les agents doivent pouvoir 
influer sur la politique de securite en cours. En effet, les 
agents peuvent realiser des analyses tres poussees sur les 
paquets, entre autres, en vue de detecter des attaques reseaux, 
des intrusions, des comportements anormaux, des virus, des 
depassements de quota, des motifs non autorises a transiter sur 
le reseau. Toutes ces analyses amenent les agents a prendre des 
20 decisions de modification de la politique de securite. Un 
exemple purement iilustratif et non limitatif des possibilities 
d' application de 1' invention est celui d'un agent charge de 
detecter la negociation du port du canal de donnees du protocole 
FTP (File Transfer Protocol : RFC 959) et devant decider 
25 d'autoriser ou non les paquets du canal de donnees a traverser 
le dispositif. Un autre exemple est celui d'un agent, d£tectant 
une tentative d'attaque depuis un poste A, et rajoutant alors 
une regie de filtrage interdisant toute communication avec le 
poste A. 

30 L' invention concerne egalement un systeme permettant 

de realiser 1' analyse et/ou la modification selective et/ou le 
filtrage selectif de paquets de donnees; ledit systeme 
comprenant : 

un dispositif traverse par lesdits paquets de donnees 
35 et place en coupure dans un reseau informatique, ledit 
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dispositif comprenant un processeur executant un compilateur et 
un logiciel conformement a une politique de securite ; ledit 
logiciel comprenant des moyens de filtrage pour filtrer lesdits 
paguets de donnees traversant ledit dispositif, en autorisant ou 
non leur passage, conformement a ladite politique de securite 
(PS) ; et ; 

des agents portables, destines a definir ladite 
politique de securite, ecrits dans un langage informatique 
independant du langage dudit processeur et dedies a 1' analyse 
et/ou la modification selective .,et/ou le filtrage selectif 
desdits paquets de donnees ; 

ledit compilateur etant automatiquement active par 
ledit logiciel pour traduire lesdits agents portables en des 
agents executables ecrits dans le langage dudit processeur ; 
15 lesdits agents executables etant executes par ledit 

processeur pour : 

analyser lesdits paquets de donnees autorises par 
ledit logiciel a traverser ledit dispositif, et/ou 

modifier selectivement lesdits paquets de donnees 
20 autorises par ledit logiciel a traverser ledit dispositif, et/ou 
filtrer selectivement lesdits paquets de donnees 
autorises par ledit logiciel a traverser ledit dispositif. 

Avantageusement, ladite politique de securite comprend 
en outre une definition des differents objets dudit reseau 
2 5 informatique . 

Avantageusement, ladite politique de securite comprend 
en outre une definition des differents services dudit reseau 
informatique . 

Avantageusement, ladite politique de securite comprend 
30 en outre une definition des differents utilisateurs dudit reseau 
informatique . 

Avantageusement, ledit systeme comprend en outre des 
moyens de generation de parametres de configuration pour 
configurer lesdits agents portables, en fonction desdits 
35 utilisateurs dudit reseau informatique. 
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Avantageusement, ladite politique de securite comprend 
en outre une definition dudit dispositif . 

Avantageusement, ledit langage informatique est un 
langage de bas niveau dedie a des traitements sur lesdits 
5 paquets de donnees dudit reseau informatique et permettant de 
controler et de limiter les actions possibles desdits agents 
portables au sein dudit dispositif. 

Avantageusement, ledit systeme comprend un serveur 
distant dudit dispositif pour definir ladite politique de 
10 securite. 

Avantageusement, ledit dispositif comprend des moyens 
d' administration pour definir ladite politique de securite. 

Avantageusement, ledit systeme comprend des moyens 
d' authentication du ou des utilisateurs, non authentifies, 
15 dudit dispositif. 

Avantageusement, ladite politique de security comprend 
en outre une definition desdits utilisateurs authentifies dudit 
dispositif. 

Avantageusement, ledit dispositif comprend un moyen 
20 d' identification pour authentifier ledit ou lesdits 
utilisateurs, non authentifies, dudit dispositif. 

Avantageusement, ledit dispositif comprend une 
application serveur d'une application client/serveur destinee a 
authentifier ledit ou lesdits utilisateurs, non authentifies, 
25 dudit dispositif. 

Avantageusement, ledit logiciel comprend une 
bibliotheque de fonctions dont les fonctions sont appelees par 
lesdits agents executables. 

Avantageusement, ladite bibliothfeque de fonctions 
30 comprend en outre des fonctions specialises dans une gestion 
d'un cache desdits paquets de donnees. 

Avantageusement, ledit cache desdits paquets de 
donn6es comprend : 

une memoire pour stocker, apres execution desdits 
35 agents executables, des informations de paquets concernant 
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lesdits paquets de donnees et pour stocker lesdits paquets de 
donnees eux-memes ; 

des moyens de controle pour verifier, grace audites 
informations de paquets memorisees dans ledit cache, si un 
paguet entrant est un paquet deja recu et s'il avait ete modifie 
par lesdits agents executables ; 

des moyens d' activation pour activer, en fonction des 
verifications operees par les moyens de contr61es, 

soit des moyens de transmission pour transmettre vers 
ledit reseau informatigue sans modification un paguet de donnees 
stocke dans ladite memoire ; 

soit des moyens de transmission pour transmettre vers 
ledit reseau informatigue sans modification un paguet entrant. 

Avantageusement, ladite, bibliotheque de fonctions 
15 comprend en outre des fonctions specialises dans une gestion 
des couches reseau et transport du protocole de communication 
utilise . 

Avantageusement, ledit dispositif comprend : 
au. moins une memoire pour stocker des informations de 
protocole desdites couches reseau et transport desdits paquets 
de donnees traversant ledit dispositif afin de realiser un suivi 
des differents flux desdits paguets de donnees, et pour stocker 
des modifications desdits paguets de donnees realisees par 
lesdits agents executables ; 
25 des moyens de mise a jour desdites informations de 

protocole desdites couches reseau et transport desdits paquets 
de donnees traversant ledit dispositif, en fonction desdites 
informations de protocole et desdites modifications memorisees, 
sur lesdits paquets de donnees afin de conserver une coherence 
30 des flux desdits paquets de donnees. 

Avantageusement, ladite bibliotheque de fonctions 
comprend en outre des fonctions specialises dans une recherche 
de motifs et d' expressions regulieres. 
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Avantageusement, ladite bibliotheque de fonctions 
comprend en outre des fonctions specialisees dans une 
communication entre lesdits agents executables. 

Avantageusement, ladite bibliotheque de fonctions 
5 comprend des fonctions specialisees dans une communication entre 
lesdits agents executables et desdits objets dudit reseau 
inf ormatique . 

Avantageusement , ledit dispositif comprend des 
composants materiels specialises associes k des fonctions de 
10 ladite bibliotheque de fonctions afin d' accelerer 1' execution 
desdites fonctions. 

Avantageusement, lesdits agents executables, executes 
par ledit processeur, modifient ladite politique de securite. 

Le systeme, objet de la presente invention, permet 
15 ainsi de realiser parfaitement toutes les fonctionnalites du 
procede decrit prec6demment . 

Afin de mieux faire comprendre 1' invention, diff6rents 
exernples vont etre deer its a l'aide de figures. Ces exemples 
donnent, a titre purement illustratif, des modes de realisation. 
20 possibles, modes auxquels ne se limite pas 1' invention. 

La figure 1 represente le schema general de 
1' interconnexion du dispositif agissant dans 1' invention avec un 
reseau inf ormatique . 

La figure 2 illustre l'effet de la compilation des 
25 agents au sein du dispositif. 

La figure 3 represente le schema general de 
1' interconnexion du dispositif agissant dans 1' invention avec un 
reseau informatique apres la compilation des agents portables en 
agents executables. 
30 La figure 4 represente 1' automate de traitement des 

paquets et d' execution des agents dans le dispositif. 

La figure 5 represente le schema general du reseau 
informatique associe a une politique de security. 

La figure 6 presente 1' automate d'un agent susceptible 
35 de modifier la politique de securite. 
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La figure 7 presente une procedure d' authentif ication 
d'un utilisateur du dispositif avec un serveur distant. 

La figure 8 presente une procedure d' authentif ication 
d'un utilisateur du dispositif avec une application serveur dans 
le dispositif. 



bibliotheque de fonctions. 

La figure 14 decrit une decomposition typique d'un 
compilateur. 

Sur la figure 1, le dispositif D contient un 
processeur P. Le dispositif D est place en coupure d'un reseau 
informatique quelconque : il peut aussi bien s'agir d'un 
intranet d' entreprise, du reseau Internet, de deux sous-reseaux 
adjacents ou bien simplement de deux postes. II peut <§galement 
s'agir d'un ordinateur connects a un reseau. On entend par 
coupure la separation physique du reseau R en deux sous-r6seaux 
relies entre eux a l'aide du dispositif D. Ainsi tout flux de 
communication compose de paquets de donnees PD d'un des sous- 
reseau a destination de 1' autre sous-reseau doit traverser le 
dispositif D. Ceci assure le controle de tout flux de donnees et 
permet de fournir des services de securite et de filtrage au 
niveau du dispositif D. Le dispositif D comprend en outre un 
logiciel L et un compilateur C qui sont destines a etre executes 
4 par le processeur P. Le dispositif D contient 6galement une 
politique de s£curit6 PS. Cette politique de securite PS est 
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definie au moyen d' agents portables Al Merits dans un langage 
informatique Li independant du langage du processeur P. 

La phase de compilation des agents est presentee en 
figure 2. Des que la politique de securite PS est presente dans 
le dispositif D, le logiciel L appelle automatiquement le 
compilateur C afin d'effectuer la compilation des agents 
portables Al presents dans la politique de securite PS et ecrits 
dans ledit langage informatique Li independant du langage du 
processeur P pour les traduire en agents executables A2 ecrits 
dans le langage du processeur P (langage represents par LP) . Les 
agents portables Al ne sont pas executables par le processeur P 
mais ils le deviennent apres compilation sous leur forme 
d' agents executables A2. Les agents executables A2 remplacent 
les agents portables Al dans la definition de la politique de 
15 securite PS. 

La figure 3 illustre l'etat du dispositif presente 
dans la figure 1 apres la compilation, montree en figure 2, des 
agents portables Al en agents executables A2. Les differences 
par rapport a la figure 1 sont les suivantes : 

Les agents portables Al definissant la politique de 
securite PS ont ete remplaces par les agents executables A2 
ecrits dans le langage du processeur P (langage represents par 
LP) et qui sont leur version compilee. 

Les agents executables A2 sont alors executes 4 par le 
processeur P au meme titre que le logiciel L et le compilateur 
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Les agents executables A2 sont done au meme niveau que 
le logiciel L et sont executes 4 par le processeur P 
Contrairement a des codes mobiles (ou applets dans le jargon 
informatique), il n'y a pas de couche d' abstraction logicielle 
(comme une machine virtuelle) . L' agent executable A2 apporte une 
nouvelle fonctionnalite au dispositif D, tout se passant comme 
si cette fonctionnalite etait deja presente dans le logiciel L. 

Les agents portables Al peuvent §tre developpes dans 
un langage de haut niveau (comme le langage « C » defini par la 
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norme ISO/IEC 9899:1999) ou intermediate (comme de 
1'assembleur) puis traduit si necessaire vers un langage de bas 
niveau independant du langage du processeur P dudit dispositif 
D. Le compilateur C permet de r£aliser des verifications sur les 
5 agents portables Al, pour les restreindre dans leur 
environnement d' execution et proteger le dispositif D d' agents 
portables Al qui seraient mal intentionnes ou mal codes. Ainsi 
un agent executable A2 ne pourra pas, par exemple, utiliser 
toutes les fonctions de la bibliotheque du logiciel L et/ou ne 

10 pourra pas acceder 4 toute la memoire de travail et/ou de 
stockage du dispositif D. 

Le logiciel L realise 1' ensemble des traitements au 
sein du dispositif D : a ce titre, il peut, selon le cas 
d' utilisation, authentifier les utilisateurs du dispositif D, 

15 recuperer une politique de security PS, recuperer avec ladite 
politique de securite PS des agents portables Al specialises 
dans certaines fonctions de securite, recuperer les paquets de 
donnees PD, filtrer les paquets de donnees en fonction de ladite 
politique de security PS, etc. 

20 Sur la figure 4, 1' automate de traitement des paquets 

du logiciel L est. pr^sente. Les elements suivants constituent 
cette figure : 

5 : Pas de paquet regu ; 

6 : Attendre l'arrivee d'un paquet ; 
25 51 : Paquet re?u ; 

7 : Filtrer le paquet ; 

8 : Y a-t-il des agents executables A2 concernes par 
le paquet ? 

9 : Executer les agents executables A2 ; 

30 10 : Y a-t-il des traitements secondaires ? 

11 : Effectuer les traitements secondaires sur le 

paquet ; 

12 : Envoyer le paquet ; 

13 : Paquet refuse / 
35 14 : Paquet autoris£ ; 
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15 : Non ; 

16 : Oui. 

Le logiciel L attend l'arrivee de nouveaux paquets. 
Apres reception, il verifie si le paquet est conforme a la 
5 politique de securite PS et filtre le paquet en autorisant ou 
non son passage. Si le paguet est autorise, le logiciel L 
verifie si des agents executables A2 sont concernes par le 
paguet, conformement a la politigue de s6curite, et le cas 
echeant lesdits agents executables A2 sont executes. Le paguet 
10 subit ensuite optionnellement des traitements supplemental res 
(chif f rement...) . Apres traitement et s' il y est autorise par les 
agents executables A2, le paguet est envoye au destinataire, 
sinon il est detruit. 

Afin de permettre au logiciel L de determiner si des 
15 agents doivent etre appeles ' pour realiser des traitements 
supplementaires sur les paquets, la politique de securite doit 
pouvoir contenir une definition des agents et des relations avec 
les autres elements de la politique de securite. 

II est possible de concevoir une politique de securite 
classique (pour un reseau utilisant la norme TCP/IP), basee sur 
des actions d' autorisation et de refus de paquet en fonction des 
adresses IP source et destination, des ports source et 
destination et du protocole de transport, tout en lui rajoutant 
une liste d' agents a executer. Le tableau suivant n'est qu'un 
25 exemple de politique de securite et les agents donnes dans cette 
politique de securite ne sont eux-memes donnes qu'a titre 
d' exemple. 
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Adresse source 


Adresse 
destination 


Service 


Port 


Protocole 


Action 


Agent 


IP A 


IP B 


FTP 


1 


TCP 


Autorise 


Agent FTP 


IP A 


IP C 


POP3 


10 


TCP 


Autorise 
Chiffre 


Agent SSOn POP3 


IP A 


IP c 


SMTP 


25 


TCP 


Autorise 
Chiffre 




IP A. . 


IP C 


HTTI? 


80. t . 


.TCP 


Autorise 


Contrdle Parental 


All 


All 


All 


* 


All 


Refuse 





On peut voir sur ce tableau, que tout flux de 
communication est interdit entre des adresses Internet autre que 
5 IP A, IP B et IP c (derniere ligne du tableau). Le flux de 
communication entre les adresses IP B et IP C est egalement 
interdit (il n'y a pas de regie explicite d' autorisation de 
communication entre B et C, c'est done la derniere ligne qui 
prevaut) . Entre les adresses Internet IP A et IP B, tout le flux 
10 de communication est interdit mis a part le service FTP 
(protocole de transfert de fichiers), service sur lequel a ete 
rajoute un agent FTP charge de detecter la procedure de 
negociation dynamique de port du protocole FTP. Et entre les 
adresses IP A et IP c tout le flux est interdit mis a part : 

le service pop3 (reception de courriers electroniques, 
Post Office Protocol - Version 3 : RFC 1939) qui est autorise, 
qui doit, dans cet exemple, etre chiffre et sur lequel a ete 
ajoute 1' agent SSOn POP 3 charge de detecter la procedure 
d' authentication et d'inserer automatiquement le mot de passe 
20 de l'utilisateur. 

le service SMTP (Simple Mail Transfer Protocol, 
protocole de transfert de courrier electronique - RFC 821) qui 
est autorise et qui, dans cet exemple, doit etre chiffre. 
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le service HTTP (HyperText Transfer Protocol, 
navigation sur les pages Internet - RFC 2068) qui est autorise 
et sur lequel est applique un controle parental. 

La figure 5 represente un schema de reseau qui peut 
5 etre employe dans le cas d' application de la politique de 
securite d^crite dans le tableau precedent. Ce reseau comprend 
trois hdtes representees par les adresses Internet IP A, IP B et 
IP C, ces hotes sont relies au meme reseau. Deux dispositifs Dl 
et D2 sont positionnes respectivement entre l'hote d'adresse IP 
10 A et le reste du reseau et entre l'hote d'adresse IP C et le 
reste du reseau. Ainsi les hotes d' adresses IP A et IP B (ainsi 
que IP B et IP C) n'ont qu'un dispositif les separant alors que 
les hotes d' adresses IP A et IP C ont les deux dispositifs qui 
les separent. 

15 La figure 6 explique le fonctionnement de 1' agent FTP 

charge de detecter la procedure de negociation dynamique de 
port. Les elements suivants constituent cette figure : 

15 : Non ; 

16 : Oui ; 
20 17 : Debut ; 

18 : Detection d'une negociation d'ouverture dynamique ' 

de port ; 

19 : Recuperation de l'IP B et du port X ; 

20 : Modification de la politique de securite par 
25 l'ajout d'une r6gle ; 

21 : Fin. 

Pour mieux comprendre l'utilite de l'exemple de 
1' agent FTP utilise dans la figure 6, il faut expliquer le 
protocole FTP. Ce protocole est divis£ en deux flux de 

30 communication distincts : le premier est le flux de controle 
permettant d'envoyer les commandes au serveur et de recevoir les 
rdponses. Ce flux utilise habituellement le port TCP 21 ; le 
deuxieme est le flux de donnees des fichiers envoyes. Le port 
permettant de recuperer ce deuxieme flux est initialement 

35 inconnu car il est n^gocie dans le premier flux, ce qui rend 
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FTP 



10 



15 



20 



impossible l'autorisation prealable du flux de donnees 
pendant la phase de definition de la politique de securite. 

L' agent est appele pour chaque paquet FTP. H S e 
charge de detecter la phase de negociation de port dynamique du 
flux de donnees FTP dans le flux de communication initial. Une 
fois qu'il l'a detectee, 1' agent recupere l'adresse IP B et le 
port negocie, ici X. Ensuite, il modifie la politique de 
securite en rajoutant une regie temporaire autorisant ce flux a 
passer. 



Adresse 
source 


Adresse 
destination 


Service 


Port 


PROTOCOLE 


Action 


Agent 


IP A 


IP B 


FTP 


21 


TCP 


Autorise 


Agent FTP 


IP A 


IP C 


POP3 


110 


TCP 


Autorise 
Chiffre j 


Agent SSQn 
POP3 


IP A 


IP C 


SMTP 


25 


TCP 


Autorise 
Chiffre 




IP A 


IP C 


HTTP 


80 


TCP 


Autorise 


Contrdle 
Parental 


IP A 


IP B 


FTP Data 


X 


TCP 


Autorise 




All 


All 


All 


* 


All 


Refuse 





Nous pouvons constater dans le tableau precedent que 
1' agent FTP, apres detection de la negociation dynamique de 
port, a rajoute une regie a la politique de securit6, permettant 
aux hotes d' adresse IP A et IP B de s'envoyer des fichiers via 
le port negocie (X dans notre exemple) . 

Par ailleurs, la politique de securite du dispositif D 
peut etre fonction du ou des utilisateurs qui se sont identifies 
aupres du dispositif. Plusieurs methodes de realisation sont 
alors possibles. Deux methodes sont presentees : une methode 
li6e a un serveur d' authentif ication distant (figure 7) et une 
autre methode liee a une authentif ication locale (figure 8) . 

Les elements suivants constituent la figure 7 : 

17 : Debut ; 
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21 : Fin ; 

22 : Un utilisateur U± s'authentifie sur le dispositif 
D a l'aide d'un moyen d' identification ; 

23 : Envoie de 1' authentication au serveur distant ; 
5 24 : Verification de 1 ' authentif ication par le serveur 

distant; 

25 : Le serveur distant extrait : 

La politique de securite PS en fonction de 
1' utilisateur Ui, 

10 Les agents portables Al correspondents, 

Les parametres de configuration correspondents ; 

26 : Envoie de la politique de securite PS, des agents 
portables Al et des parametres de configurations au dispositif ; 

27 : Stockage de la politique de securite PS, des 
parametres de configuration et des agents executables A2 qui ont 
ete obtenus apres compilation des agents portables Al par le 
compilateur C ; 

28 : Authentification refusee ; 

29 : Authentification accordee. 

En figure 7, un utilisateur Oi s'authentifie sur le 
dispositif" D (ceci peut etre realise entre autre a l'aide d'un 
lecteur de carte a puce ou par un systeme d' identification 
biometrique...) . L' authentif ication est envoyee au serveur distant 
qui verifie 1' authentification de 1' utilisateur. si cette 
authentification est refusee, le serveur coupe la communication. 
Au contraire, si 1' authentif ication est autorisee, le serveur 
construit la politique de securite PS en fonction de 
1' utilisateur Ui en y incluant les agents portables Al et les 
parametres de configuration correspondants . Le serveur envoie 
alors toutes ces informations au dispositif D qui les stocke 
(par exemple en memoire) . L' utilisateur est alors authentif ie et 
peut utiliser le dispositif avec sa politique de securite. 

Cette methode permet de centraliser toutes les 
politicoes de securite PS de tous les dispositifs D dans un ou 
plusieurs serveurs centraux sur lesquels 1' administration peut 
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se faire globalement. Cette methode pennet en outre d'envoyer de 
nouveaux agents portables Al et done de modifier totalement le 
comportement de tout ou partie des dispositif s D. 

Les elements suivants constituent la figure 8 : 
5 17 : Debut ; 

21 : Fin ; 

27 : Stockage de la politique de securite PS, des 
parametres de configuration et des agents A2 qui ont ete obtenus 
apres compilation des agents portables Al par le compilateur C ; 
10 . 28 : Authentification refusee ; 

29 : Authentification accordee ; 

30 : Un utilisateur Ui s'authentifie sur le dispositif 
D a l'aide d'une application client/serveur dont 1' application 
serveur se trouve dans le dispositif D ; 

15 31 : Verification de 1' authentification par le 

dispositif D ; 

32 : L' application serveur extrait : 

La politique de securite PS en fonction de 
1' utilisateur Ui, 

20 Les agents portables Al correspondents, 

Les parametres de configuration correspondents . 
En figure 8, un utilisateur s' authentifie via une 
application serveur (par exemple un serveur HTTP) incluse dans 
le logiciel L du dispositif. L' application serveur verifie 
25 1' authentification. si celle-ci est correcte, 1' application 
serveur recupere et active alors la politique de securite PS de 
1' utilisateur U L (comme dans la figure 7) . Les informations sont 
directement contenues dans le dispositif D. II est possible de 
parametrer ces fonctionnalites et, d'une facon plus generale, la 
politique de securite PS, en fonction d'un utilisateur U A . 
L' administration se fait localement sur le dispositif D via 
1' application serveur. Cette methode peut etre utilisee dans le 
cadre d'un dispositif D unique pour un reseau familial accedant 
a Internet ou pour une petite entreprise. 
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Les figures 7 et 8 ne sont que des exemples 
d' implementation de 1' invention. II est tout a fait possible de 
coupler ces deux exemples et d' avoir une authentication de 
1' utilisateur a l'aide d'un serveur (Web ou autre) embarque dans 
5 le dispositif D et d' avoir un serveur central qui verifie cette 
authentication, genere la politique de securite puis la 
transmet au dispositif D. 

Les services autres que le filtrage classique des 
paquets realise par une ecluse (firewall) classique sont 
10 realises par les agents. Un agent peut potentiellement realiser 
n'importe quel traitement sur les paquets. L'exemple qui suit 
montre la facilite d' implementation d'un agent. 

La figure 9 illustre 1' automate d'un agent realisant 
une fonctionnalite tres originale de securite au niveau 
15 application (et non pas au niveau TCP/IP par exemple) . Les 
elements suivants constituent cette figure : 

15 : Non ; 

16 : Oui ; 

17 : D<§but ; 
20 21 : Fin ; 

33 : Initialisation de 1' agent ; 

34 : Le paquet contient-il la commande « USER » ? 

35 : Le paquet contient-il la commande « PASS » ? 

36 : Y a-t-il un mot de passe associe au nom 
25 d' utilisateur ? 

37 : Recuperation et stockage du nom d' utilisateur ; 

38 : Sauvegarde des parametres de 1' agent ; 

39 : Calcul de la taille des donnees a raj outer au 

paquet ; 

30 40 : Modification de la taille du paquet ; 

41 : Insertion du mot de passe dans le paquet. 
Cet agent se charge de realiser l'authentification 
d'un utilisateur a son serveur de messagerie electronique via le 
protocole POP3 (Post Office Protocol - Version 3 : RFC 1939, 
35 commandes d'authentification de P0P3 : RFC 1734). L' utilisateur 
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n'a plus a connaltre son mot de passe. L' agent se charge de 
Placer le mot de passe en fonction de I'identifiant de 
l'utilisateur. 

I/automate de 1'agent est relativement simple. I/agent 
cherche un paquet contenant la commande USER et extrait 
I'xdentifiant de l'utilisateur si la commande est trouvee. Puis 
il cherche un paquet contenant la commande PASS. Une fois qu'il 
1 a trouvee, 1'agent retrouve le mot de passe correspondant a 

calcule la taille a rajouter au paquet - 

le paquet et insere le mot de passe valide. 

Voici un exemple de ce code ecrit en « C », langage 
informatique de haut niveau. 

in t main() 
15 { 

/* definition des variables */ 
int packet_size; 
char *packet; 
char,* (param[6]) ; 

int error, login_size, offset, pass^size; 

/* Recuperation du paquet et des parametres de 
1'agent */ 

25 S pa= ke t_ s izs", ' ! ' _ 

return OK; 
agent_getAgentParam( param) ; 
/* On cherche la commande USER pour 

recuperer le login */ 
if ( lstrncmp( packet, "USER 5)) 
{ 

login_size = size - 7; 
if (login_size > 32) 
return -1; 

/* On sauvegarde le login et sa taille */ 
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strncpy( param[l] , packet + 5, login_size) ; 
(int) (param[2] ) = login_size; 

} 

/* On cherche la commande PASS pour inserer 

le mot de passe */ 
if ( !strncmp( packet, "PASS 5)) 
{ 

/* On recupere le mot de passe 

correspondant au login */ 
if ( (offset = agent_getMatch ( param[0], param[l], 
(int) (param[2] ) ) ) = -1) 
return OK; 

pass_size = strlen( param[0] + offset); 
/* On augmente la taille du paquet 
15 et on insere le passe */ 

agentjnodif yMemSpace ( packet + 5, pass_size) ; 
strncpy( packet + 5, param[l], pass__size) ; 

} 

/* Sauvegarde des parametres de 1' agent */ 
20 agent_saveAgentParam ( param) ; 

return OK; 

} 

Get exemple montre bien la facilite apportee par la 
prSsente invention pour permettre le raj out de nouvelles 

25 fonctionnalites de securite et/ou de gestion du reseau, sur le 
dispositif D. En quelques lignes de codes, il est possible 
d'effectuer des operations sur les paquets. Etant donne la 
facilite d'acces aux paquets des flux de communication, 1' agent 
peut rapidement lire et modifier les donnees des paquets. Ainsi, 

30 tout developpeur peut ecrire ses propres agents et augmenter sa 
base de fonctionnalites. Avec 1' apparition de nouvelles menaces, 
1' implementation de nouveaux agents detectant ces menaces et y 
remediant est rapide et efficace. La diffusion a 1' ensemble des 
dispositifs protege de maniere homogene et instantanee 

35 l' ensemble du pare inf ormatique . Concernant des services tels 
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que celui presente plus haut, une politique de securite globale 
peut etre deployee de la meme maniere a tout un reseau 
inf ormatique . 

La figure 10 presente un autre mode de realisation de 
5 1' invention. Deux utilisateurs Ul et U2, sur deux postes 
differents POl et P02, sont identifies aupres du dispositif D et 
ont leur propre politique de securite. Tout flux de 
communication provenant du reseau R a destination d'un des 
postes est filtre avec la politique de securite correspondant a 
10 l'utilisateur du poste. 

Cet exemple ne limite pas la presente invention a deux 
utilisateurs. La presente invention est capable de proteger 
autant de postes et/ou d' utilisateurs que souhaite, et cela, si 
souhaite, avec des politiques de securite PS differentes pour 
15 chacun d'eux. 

Afin d'optimiser 1' execution des agents executables A2 
sur les paquets, un cache de paquets permet de n'envoyer aux 
agents executables A2 qu'une seule version d'un meme paquet et 
done de leur presenter un flux coherent. Le cache de paquets 
permet de prendre en charge les paquets deja regus afin de ne 
pas perturber les algorithmes des agents qui ne s'attendent pas 
a recevoir une nouvelle fois un paquet deja traite. Ces 
phenomenes sont connus sous le nom de re-emission de paquets et 
sont presents au niveau du protocole TCP. 

La figure 11 donne 1' automate general d'un cache de 
paquets. Les elements suivants constituent cette figure : 

15 : Non ; 

16 : Oui ; 

42 : Arrivee d'un paquet dans le dispositif ; 
Le paquet a-t-il deja ete recu ? 

44 : Le paquet a-t-il ete modifie precedemment par les 

agents ? 

45 : Envoi du paquet modifie sauvegarde ; 

46 : Envoi du paquet ; 

35 47 : Traitement par les agents ; 
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48 : Le paquet a-t-il ete modifie par les agents ? 

49 : Memorise le paquet et les informations qui 
l'identifient ; 

50 : Memorise les informations identifiant le paquet. 

5 Lorsqu'un paquet est recu (42), le cache de paquet 

verifie si le paquet a deja ete recu precedemment (43) . Dans la 
negative, les agents concernes par le paquet sont appeles (47) . 
Une fois traitees, les informations permettant d' identifier le 
paquet (par exemple, son numero de sequence TCP) sont 
10 sauvegardees ((49) ou (50)). Si le paquet. a ete modifie par les 
agents, le paquet modifie est sauvegarde avec les informations 
1' identifiant (49) puis il est envoye sur le reseau (46). Sinon, 
il est simplement envoye sur le reseau (46) apres sauvegarde des 
informations permettant de 1' identifier (50). Si le paquet a 
15 deja ete recu (c'est-a-dire si on retrouve les informations 
1' identifiant dans le cache de paquet), le cache de paquet 
verifie si le paquet modifie est sauvegarde (44), auquel cas le 
paquet modifie est envoye sur le reseau sans execution des 
agents (45). Sinon, le paquet deja recu est directement envoye 
sur le reseau sans execution des agents (46) . On garantit ainsi 
aux agents qu'ils ne recevront pas une nouvelle fois un paquet 
qu'ils ont dejk traite. 

Illustrons un cas particulier possible : un agent 
charge de detecter un virus suspecte la presence d'un virus dans 
un paquet 1, mais necessite de realiser une analyse du paquet 2 
pour en etre convaincu. Si le paquet 1 est recu pour la deuxieme 
fois (paquet 1 bis), 1' agent realisera le traitement du paquet 2 
sur ce paquet 1 bis, ce qui faussera 1' analyse. Le cache de 
paquet permet de renvoyer directement la bonne version du paquet 
1 sans executer les agents. Deux cas se presentent : le paquet 1 
a ou n'a pas ete modifie par un agent lors de sa premiere 
reception. Dans le premier cas, le paquet 1 modifie a ete 
sauvegarde la premiere fois. C'est la version sauvegardee qui 
est envoyee sans executer les agents. Dans le second cas, le 
35 paquet 1 bis est renvoye directement sans execution des agents. 
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Les agents disposent de nombreuses fonctions de 
traitement des paquets. Mais ils disposent egalement de 
fonctions leur permettant de communiquer avec 1' ensemble des 
elements constitutifs du reseau. Ces fonctions sont 
indispensables pour mettre en place une securite globale du 
reseau. 

La figure 12 en demontre 1'interet. Considerons un 
reseau R peu sur, dans lequel evolue un pirate informatique 
depuis un poste H. Ce pirate elabore une attaque (1) en 
destination d'un serveur web SW d'une entreprise, ce serveur web 
etant accessible via un routeur RO. Le serveur web SW est 
protege par le dispositif D (mettant en ceuvre 1' invention) . 
L' agent A est charge de securiser le serveur web. A la detection 
de l'attaque (1), l'agent A bloque l'attaque (1) et envoie un 
15 ordre (2) de reconfiguration du routeur RO afin de bloquer les 
communications venant du poste H (par exemple via le protocole 
SNMP) . II envoie alors un message d' avertissement (3) au serveur 
de log SL centralisant un journal des evenements (par exemple 
via le protocole syslog) . Le dispositif D est ainsi r£actif aux 
20 attaques et il peut communiquer aux autres peripheriques reseau 
des informations oeuvrant pour la securite du reseau. 

La figure 13 presente 1' utilisation de fonctions F 
d'une bibliotheque de fonctions BF contenue le logiciel L, 
certaines de ces fonctions F pouvant etre associ£es a des 
25 composants materiels specialises CM presents dans le dispositif 
D. Le processeur P contenu dans le dispositif D execute 4 le 
logiciel L. Le logiciel L fait appel a des fonctions F contenues 
dans la bibliotheque de fonctions BF. Ces fonctions F peuvent 
etre codees sous la forme d'un logiciel execute par le 
30 processeur P. Elles peuvent aussi utiliser (52) des composants 
materiels specialises CM qui leur sont associ^s. 

La figure 14 decrit les differentes phases d'un 
compilateur. Elle est constitute des Elements suivants : 
53 : programme source ; 
35 54 : analyseur lexical ; 
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55 : analyseur syntaxique ; 

56 : analyseur semantique ; 

57 : generateur de code intermediaire ; 

58 : optimiseur de code ; 
5 59 : generateur de code ; 

60 : programme cible ; 

61 : gestionnaire de la table de symboles ; 

62 : gestionnaire d'erreurs. 

Un programme source (53) ecrit dans un langage est 
10 transforme par le compilateur en un programme cible (60) ecrit 
dans un autre langage de plus bas niveau (plus proche du langage 
machine) . Le programme source passe par les dif ferentes phases 
suivantes : 

analyse : trois, analyseurs constituent cette phase 
15 d' analyse, ce sont les analyseurs lexical (54), syntaxique (55) 
et semantique (56) qui decomposent le code en unites lexicales, 
les classent hierarchiquement et controlent s'il y a, ou non, 
des erreurs semantiques. 

generation de code intermediaire : le programme source 
20 est transform^ par le generateur de code intermediaire (57) en 
code intermediaire facile k produire et facile a traduire en 
langage cible. 

optimisation : un optimiseur de code (58) tente 
d'ameliorer le code intermediaire de fa<?on que le code resultant 
25 s' execute plus rapidement. 

generation de code : un generateur de code (59) 
produit alors le programme cible (60) . 

Toutes les phases decrites ci-dessus utilisent le 
gestionnaire de la table des symboles (61) et le gestionnaire 
30 d'erreurs (62). Le premier enregistre les identificateurs 
utilises dans le programme source et collecte de 1' information 
sur divers attributs de chaque identif icateur . Le second gere 
les erreurs provenant des differentes phases qui les traitent de 
fagon £ pouvoir continuer la compilation afin de detecter 
35 d'autres eventuelles erreurs. 
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REVENDICATIONS 

1. Procede permettant de realiser 1' analyse et/ou la 
modification selective et/ou le filtrage selectif de paquets de 
donnees (PD) traversant un dispositif (D) place en coupure dans 
un reseau informatigue (R) ; ledit dispositif (D) comprenant un 
processeur (P) executant un compilateur (C) et un logiciel 
(L) conformement a une politique de securite (PS) ; ledit 
logiciel (L) etant destine au filtrage desdits paguets de 
donnees (PD) , en autorisant ou non leur passage, conformement a 
ladite politique de securite (PS); ledit procede etant 
caractdrise en ce qu'il comprend les etapes suivantes : 

- l'etape de definir ladite politique de securite (PS) 
au moyen d' agents portables (Al) , ecrits dans un langage 
informatigue (Li) independant du langage dudit processeur (P) et 
dedies a 1' analyse et/ou a la modification selective et/ou au 

15 filtrage selectif desdits paguets de donnees (PD) ; 

- l'etape, pour ledit logiciel (L) , d'appeler 
automatiquement ledit compilateur (C) afin d'effectuer une 
compilation pour traduire lesdits agents portables (Al) en des 
agents executables (A2) ecrits dans le langage dudit processeur 

20 (P) ; 

- l'etape d'exdcuter ledit logiciel (L) pour filtrer 
lesdits paguets de donnees (PD) traversant ledit dispositif (D) , 
en autorisant ou non leur passage, conformement a ladite 
politique de securite (PS) ; 

25 ~ l'etape d' analyser, lesdits paquets de donnees (PD) 

autorises par ledit logiciel (L) a traverser ledit dispositif 
(D) , en executant lesdits agents executables (A2) par ledit 
processeur (P) ; et/ou 

- l'etape de modifier selectivement, lesdits paquets 
30 de donnees (PD) autorises par ledit logiciel (L) a traverser 

ledit dispositif (D), en executant lesdits agents executables 
(A2) par ledit processeur (P) ; et/ou 

- l'etape de filtrer selectivement, lesdits paquets de 
donnees (PD) autorises par ledit logiciel (L) a traverser ledit 
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dispositif (D), en executant lesdits agents executables (A2) par 
ledit processeur (P) . 

2. Procede selon la revendication 1, caracterise en ce 
que ladite politique de securite (PS) comprend en outre une 
definition des differents objets dudit reseau informatique (R) . 

3. Procede selon l'une quelconque des revendi cations 1 
ou 2, caracterise en ce que ladite politique de securite (PS) 
comprend en outre une definition des differents services dudit 
reseau informatique (R) . 

4. Procede selon l'une quelconque des revendi cations 1 
a 3, caracterise en ce que ladite politique de securite (PS) 
comprend en outre une definition des differents utilisateurs 
(Ui) dudit reseau informatique (R) . 

5. Procede selon la revendication 4, caracterise en ce 
15 qu'il comprend en outre l'etape de generer des parametres de 

configuration permettant de configurer lesdits agents portables 
(Al) en fonction desdits utilisateurs (Ui) dudit reseau 
informatique (R) . 

6. Procede selon l'une quelconque des revendications 1 
20 a 5, caracterise en ce que ladite politique de securite (PS) 

comprend en outre une definition dudit dispositif (D) . 

7. Procede selon l'une quelconque des revendications 1 
a 6, caracterise en ce que ledit langage informatique (Li) est 
un langage de bas niveau dedie a des traitements sur lesdits 

25 paquets de donnees (PD) dudit reseau informatique (R) et 
permettant de contr61er et de limiter les actions possibles 
desdits agents portables (Al) au sein dudit dispositif (D) . 

8. Procede selon l'une quelconque des revendications 1 
a 7, caracterise en ce qu'il comprend en outre l'etape de 

30 definir, sur un serveur distant dudit dispositif (D) , ladite 
politique de securite (PS) . 

9. Procede selon l'une quelconque des revendications 1 
a 7, caracterise en ce qu'il comprend en outre l'etape de 
definir, sur ledit dispositif (D) , ladite politique de securite 

35 (PS) . 



WO 2004/068817 



PCT/FR2004/050009 



43 



10. Procede selon l'une quelconque des revendications 
1 a 9, caracterise en ce qu'il comprend en outre l'etape 
d' authentif ier le ou les utilisateurs (Ui) , non authentif ies, 
dudit dispositif (D) . 
5 11. Proced§ selon la revendication 10, caracterise en 

ce que ladite politique de securite (PS) comprend en outre une 
definition desdits utilisateurs (Ui) authentifies dudit 
dispositif (D) . 

12. Proced6 selon la revendication 11, caracterise en 
10 ce qu'il comprend en outre l'etape d' authentif ier ledit ou 

lesdits utilisateurs (Ui) , non authentifies, dudit dispositif 
(D) a l'aide d'un moyen d' identification associe audit 
dispositif (D) . 

13. Proced6 selon la revendication 11, caracterise en 
15 ce qu'il comprend en outre l'etape d' authentif ier ledit ou 

lesdits utilisateurs (Ui) , non authentifies, dudit dispositif 
(D) a l'aide d'une application client/ serveur dont 1' application 
serveur est contenue dans ledit dispositif (D) . 

14. Procede selon l'une quelconque des revendications 
20 la 13, caracterise en ce qu'il comprend en outre l'etape 

d'executer des fonctions (F) d'une bibliotheque de fonctions 
(BF) contenue dans ledit logiciel (L) et appelee par lesdits 
agents executables (A2) . 

15. Procede selon la revendication 14 caracterise, en 
25 ce qu'il comprend en outre l'etape d'executer des fonctions (F) , 

de ladite bibliotheque de fonctions (BF) , sp£cialisees dans une 
gestion d'un cache desdits paquets de donnees (PD) . 

16. Proc£d6 selon la revendication 15, caracterise en 
ce que la gestion dudit cache desdits paquets de donnees (PD) 

30 comprend les etapes suivantes : 

- l'etape, apr£s execution desdits agents executables 
(A2), de memoriser, dans ledit cache, des informations de 
paquets concernant lesdits paquets de donnees (PD) et en outre 
lesdits paquets de donnees (PD) eux-memes lorsqu'ils ont et<§ 

35 modifies lors de ladite execution ; 
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- l'etape, lors de l'arrivee d'un paquet entrant dans 
ledit dispositif (D) , de verifier, grace audites informations de 
paquets enregistrees dans ledit cache, si ledit paquet entrant 
est un paquet deja regu ; 

5 - l'etape, lorsque ledit paquet entrant n'est pas un 

paquet d6ja re<?u, d'ex6cuter lesdits agents executables (A2) ; 

- l'etape, lorsque ledit paquet entrant est un paquet 
deja regu, de determiner, grace audites informations de paquets 
memorisees dans ledit cache, si ledit paquet deja regu avait et<§ 

10 modifie par lesdits agents executables (A2) ; 

- l'etape, lorsque ledit paquet deja regu avait 6t<§ 
modifie par lesdits agents executables (A2), de transmettre vers 
ledit reseau informatique (R) , sans executer lesdits agents 
executables (A2) , une version dudit paquet deja regu memorisee 

15 dans ledit cache ; 

- l'etape, lorsque ledit paquet deja regu n' avait pas 
ete modifie par lesdits agents executables (A2), de transmettre 
vers ledit reseau informatique (R) ledit paquet entrant tel 
quel, sans executer lesdits agents executables (A2) . 

20 17 • Proc£de selon l'une quelconque des revendications 

14 a 16, caracterise en ce qu'il comprend en outre l'etape 
d' executer des fonctions (F) , de ladite bibliotheque de 
fonctions (BF) , specialisees dans une gestion des couches reseau 
et transport du protocole de communication utilise. 

25 18 • Proc<§de selon la revendication 17 caracterise en 

ce que la gestion desdites couches reseau et transport comprend 
en outre les etapes suivantes : 

- l'etape de memoriser des informations de protocole 
desdites couches reseau et transport desdits paquets de donnees 

30 (PD) traversant ledit dispositif (D) afin de realiser un suivi 
des differents flux desdits paquets de donnees (PD) ; 

- l'etape de memoriser des modifications desdits 
paquets de donnees (PD) realisees par lesdits agents executables 
(A2) / 
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- l'etape de mettre a jour lesdites informations de 
protocole desdites couches reseau et transport desdits paquets 
de donnees (PD) traversant ledit dispositif (D) , en fonction 
desdites informations de protocole et desdites modifications 
5 memorisees, sur lesdits paquets de donnees (PD) afin de 
conserver une coherence des flux desdits paquets de donnees 
(PD) . 

19. Procede selon l'une quelconque des revendi cations 
14 a 18 caracterise en ce qu'il comprend en outre l'etape 

10 d'executer des fonctions (F) , de ladite bibliotheque de 
fonctions (BF) , specialisees dans une recherche de motifs et 
d' expressions regulieres . 

20. Procede selon l'une quelconque des revendications 
14 a 19 caracterise en ce qu'il comprend en outre l'etape 

15 d'executer des fonctions (F) , de ladite bibliotheque de 
fonctions (BF) , specialisees dans une communication entre 
lesdits agents executables (A2) . 

21. Procede selon l'une quelconque des revendications 
14 a 20 caracterise en ce qu'il comprend en outre l'etape 

20 d'executer des fonctions (F) , de ladite bibliotheque de 
fonctions (BF) , specialisees dans une communication entre 
lesdits agents executables (A2) et desdits objets dudit reseau 
informatique (R) . 

22. Procede selon l'une quelconque des revendications 
25 14 a 21 caracterise en ce qu'il comprend en outre l'etape 

d'associer des composants materiels specialises (CM) dudit 
dispositif (D) a des fonctions (F) de ladite bibliotheque de 
fonctions (BF) afin d'accelerer 1' execution desdites fonctions 
(F). 

30 23 • Procede selon l'une quelconque des revendications 

1 a 22 caracterise en ce qu'il comprend en outre l'etape de 
modifier ladite politique de securite (PS) en executant lesdits 
agents executables (A2) par ledit processeur (P) . 
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24. Systeme permettant de realiser 1' analyse et/ou la 
modification selective et/ou le filtrage selectif de paquets de 
donnees (PD) ; ledit systeme comprenant : 

un dispositif (D) traverse par lesdits paquets de 
5 donn<§es (PD) et place en coupure dans un reseau informatique 
(R) , ledit dispositif (D) comprenant un processeur (P) executant 
un compilateur (C) et un logiciel (L) conformement a une 
politique de securite (PS) ; ledit logiciel (L) comprenant des 
moyens de filtrage pour filtrer lesdits paquets de donnees (PD) 
10 . traversant ledit dispositif (D) , en autorisant ou non leur 
passage, conformement a ladite politique de securite (PS) ; et ; 

des agents portables (Al) , destines a definir ladite 
politique de securite (PS), ecrits dans un langage informatique 
(Li) independant du langage dudit' processeur (P) et dedies a 
15 1' analyse et/ou la modification selective et/ou le filtrage 
selectif desdits paquets de donnees (PD) ; 

ledit compilateur (C) etant active automatiquement par 
ledit logiciel (L) pour traduire lesdits agents portables (Al) 
en des agents executables (A2) ecrits dans le langage dudit 
20 processeur (P) ; lesdits agents executables (A2) etant executes 
par ledit processeur (P) pour : 

analyser lesdits paquets de donnees (PD) autoris^s par 
ledit logiciel (L) a traverser ledit dispositif (D) , et/ou 

modifier selectivement lesdits paquets de donnees (PD) 
25 autorises par ledit logiciel (L) a traverser ledit dispositif 
(D), et/ou 

filtrer selectivement lesdits paquets de donnees (PD) 
autorises par ledit logiciel (L) a traverser ledit dispositif 
<D). 

30 25 • Systdme selon la revendication 24 ; ledit systeme 

etant tel que ladite politique de securite (PS) comprend en 
outre une definition des differents objets dudit r<§seau 
informatique (R) . 

26. Systeme selon l'une quelconque des revendications 

35 24 ou 25 ; ledit systeme etant tel que ladite politique de 
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securite (PS) comprend en outre une definition des differents 
services dudit reseau informatique (R) . 

27. Systeme selon l'une quelconque des re vendi cations 
24 k 26 ; ledit systeme etant tel que ladite politique de 
securite (PS) comprend en outre une definition des differents 
utilisateurs (Ui) dudit reseau informatique (R) . 

28. Systeme selon la revendication 27 caracterise en 
ce qu'il comprend en outre des moyens de generation de 
parametres de configuration pour configurer lesdits agents 
portables (Al), en fonction desdits utilisateurs (U±) dudit 
reseau informatique (R) . 

29. Systeme selon l'une quelconque des revendications 
24 a 28 ; ledit systeme etant tel que ladite politique de 
securite (PS) comprend en outre une definition dudit dispositif 

15 (D) . 

30. Systeme selon l'une quelconque des revendications 
24 A 29 ; ledit systeme etant tel que ledit langage informatique 
(Li) est un langage de bas niveau dedie a des traitements sur 
lesdits paquets de donnees (PD) dudit reseau informatique (R) et 

20 permettant de controler et de limiter les actions possibles 
desdits agents portables (Al) au sein dudit dispositif (D) . 

31. Systeme selon l'une quelconque des revendications 
24 k 30 caracterise en ce qu'il comprend un serveur distant 
dudit dispositif (D) pour definir ladite politique de securite 

25 (PS) . 

32. Systeme selon l'une quelconque des revendications 
24 a 30 ; ledit systeme etant tel que ledit dispositif comprend 
des moyens d' administration pour definir ladite politique de 
securite (PS) . 

30 33 - Systeme selon l'une quelconque des revendications 

24 & 32 caracterise en ce qu'il comprend des moyens 
d'authentification du ou des utilisateurs (Ui) , non 
authentifies, dudit dispositif (D) . 

34. Systeme selon la revendication 33 ; ledit systeme 

35 etant tel que ladite politique de securite (PS) comprend en 
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outre une definition desdits utilisateurs (Ui) authentifids 
dudit dispositif (D) . 

35. Systeme selon la revendication 34 caracterise en 
ce que ledit dispositif (D) comprend un moyen d' identification 

5 pour authentifier ledit ou lesdits utilisateurs (Ui) , non 
authentifies, dudit dispositif (D) . 

36. Systdme selon la revendication 34 caracterise en 
ce que ledit dispositif (D) comprend une application serveur 
d'une application client /serveur destinee a authentifier ledit 

10 pu lesdits utilisateurs (Ui) , non authentifies, dudit dispositif 
(D). 

37. Systeme selon 1'une quelconque des revendications 
24 a 36 caracterise en ce que ledit logiciel comprend une 
bibliotheque de fonctions '(BF) dont les fonctions (F) sont 

15 appelees par lesdits agents executables (A2) . 

38. Systeme selon la revendication 37 ; ledit systeme 
etant tel que ladite bibliotheque de fonctions (BF) comprend en 
outre des fonctions (F) specialisees dans une gestion d'un cache 
desdits paquets de donnees (PD) . 

20 39 • Systeme selon la revendication 38 caracterise en 

ce que ledit cache desdits paquets de donnees (PD) comprend : 

une memoire pour stocker, apres execution desdits 
agents executables (A2) , des informations de paquets concernant 
lesdits paquets de donnees (PD) et pour stocker lesdits paquets 

25 de donnees (PD) eux-memes ; 

des moyens de controle pour verifier, grace audites 
informations de paquets memorisees dans ledit cache, si un 
paquet entrant est un paquet deja regu et s'il avait ete modifie 
par lesdits agents executables (A2) ; 

30 des moyens d' activation pour activer, en fonction des 

verifications operees par les moyens de controles, 

soit des moyens de transmission pour transmettre vers 
ledit rdseau informatique (R) sans modification un paquet de 
donnees (PD) stocks dans ladite memoire ; 
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soit des moyens de transmission pour transmettre vers 
ledit reseau informatique (R) sans modification un paquet 
entrant . 

40. Systeme selon l'une quelconque des revendi cations 
5 37 a 39 ; ledit systeme etant tel que ladite bibliotheque de 

fonctions (BF) comprend en outre des fonctions (F) specialises 
dans une gestion des couches reseau et transport du protocole de 
communication utilise. 

41. Systeme selon la revendication 40 ; ledit systeme 
10 (|tant tel que ledit dispositif (D) comprend : 

au moins une memoire 

pour stocker des informations de protocole desdites 
couches reseau et transport desdits paquets de donnees (PD) 
traversant ledit dispositif (D) afin de realiser un suivi des 
15 dif ferents flux desdits paquets de donnees (PD) , 

pour stocker des modifications desdits paquets de 
donnees (PD) realises par lesdits agents executables (A2) ; 

des moyens de mise a jour desdites informations de 
protocole desdites couches reseau et transport desdits paquets 
20 de donnees (PD) traversant ledit dispositif (D) , en fonction 
desdites informations de protocole et desdites modifications 
memorises, sur lesdits paquets de donnees (PD) afin de 
conserver une coherence des flux desdits paquets de donnees 
(PD) . 

25 42 • Systeme selon l'une quelconque des revendications 

37 a 41 ; ledit systeme etant tel que ladite bibliotheque de 
fonctions (BF) comprend en outre des fonctions (F) specialises 
dans une recherche de motifs et d' expressions regulieres. 

43. Systeme selon l'une quelconque des revendications 
30 37 a 42 ; ledit systeme etant tel que ladite bibliotheque de 

fonctions (BF) comprend en outre des fonctions (F) specialises 
dans une communication entre lesdits agents executables (A2) . 

44. Systeme selon l'une quelconque des revendications 
37 A 43 ; ledit systeme etant tel que ladite bibliotheque de 

35 fonctions (BF) comprend des fonctions (F) specialises dans une 
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communication entre lesdits agents executables (A2) et desdits 
objets dudit reseau informatique (R) . 

45. Systeme selon l'une quelconque des revendications 
37 a 44 caracteris6 en ce que ledit dispositif (D) comprend des 

5 composants materiels specialises (CM) associes a des fonctions 
(F) de ladite bibliotheque de fonctions (BF) afin d'accelerer 
1' execution desdites fonctions (F) . 

46. Systeme selon l'une quelconque des revendications 
24 a 45 ; ledit systeme etant tel que lesdits agents executables 

10 (A2), executes par ledit processeur (P) , modifient ladite 
politique de securite (PS) . 
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